Antivirus

FRAMINGHAM (04/22/2010) – O dia de ontem foi duro para os administradores de TI presos à McAfee. Muitos deles enfrentaram um apocalipse completo dos PCs de suas organizações à medida em que centenas, em alguns casos milhares, de computadores com o Windows XP deixaram de funcionar após receber uma atualização de antivírus defeituosa enviada pela empresa de segurança.

A história completa ainda não está clara no momento, mas há algumas coisas que já sabemos — e muitas que ainda não sabemos — sobre o último desastre causado por um fornecedor que deveria proteger, e não desabilitar, PCs.

Estas são nossas primeiras impressões sobre o que aconteceu, quem foi atingido e porque. Se você tem tempo de ler este artigo, assumimos que não é um dos que estão correndo para trazer máquinas aleijadas de volta à vida.

O que aconteceu? Resposta curta: a McAfee pisou na bola

A resposta longa é mais complicada. A atualização desta quarta-feira — a McAfee fornece atualizações diárias para seus clientes corporativos — deveria detectar e destruir uma ameaça menor, o worm “W32/wecorl.a”. Em vez disso ela “enlouqueceu”, marcando incorretamente o arquivo crítico svchost.exe do Windows XP Service Pack 3 (SP3) como malware, e então colocou-o de quarentena, removendo-o de seu local de origem. Em alguns casos, o arquivo foi deletado.

Pense na situação como um caso onde a polícia culpou um suspeito pela autoria de um crime com base em um teste de DNA falho, e descobriu depois que pegou o cara errado.

Oops!

Porque os PCs capotaram após receber a atualização ruim? Sem o svchost.exe — um processo crítico para serviços que rodam a partir de outras DLLs (dynamic link libraries) do Windows — um PC com Windows não consegue inicializar corretamente.

Quando os usuários aplicaram a atualização, e reiniciaram o computador, estavam fritos: as máquinas reiniciavam repetidamente. A maioria delas também perdeu qualquer capacidade de conexão a redes, e algumas se tornaram incapazes de “enxergar” drives USB, o que é um grande problema já que a recuperação pode exigir a reinstalação do arquivo svchost.exe, algo que poderia ser feito facilmente copiando-o de um pendrive para cada computador afetado.

Que máquinas foram afetadas? Apenas PCs rodando o Windows XP Service Pack 3 (SP 3), diz a McAfee.

Outras versões do Windows XP, incluindo a SP1 e SP2, não foram afetadas pela atualização, nem sistemas rodando o Windows 2000, Vista, Windows 7, Windows Server 2003 e Windows Server 2008. A McAfee também disse que versões ainda mais antigas – como o Windows 98 – não foram afetadas.

Há, entretanto, alguns poucos relatos nos fóruns de suporte da McAfee sobre máquinas com o Windows Vista que também foram afetadas.

Minha empresa roda o Windows XP SP3. Porque só algumas máquinas foram afetadas? Boa pergunta.

Apenas máquinas rodando o VirusScan 8.7 foram afetadas, de acordo com relatos de usuários confirmados pela McAfee. Se você usa uma versão mais antiga, incluindo a Enterprise 8.5, está seguro.

Um gerente da McAfee desvendou um pouco mais do mistério de algumas máquinas com o Windows XP SP3 terem sido afetadas, enquanto outras ficaram incólumes. “Não vi relatos de consumidores que deixaram esta opção desabilitada”, disse Samantha Price, uma gerente da McAfee Global Threat Response Team, em uma mensagem nos fóruns de suporte ao VirusScan Enterprise mantidos pela empresa.

A opção à qual Price se refere, “Scan Processes on enable” está desabilitada por padrão na maioria das instalações do VirusScan 8.7

Mas nem todas. Um usuário disse a Robert McMillan, do IDG News Service, que sua cópia do programa tinha esta opção habilitada por padrão. E um documento de suporte da McAfee pede aos usuários que a desabilitem após atualizar o VirusScan 8.7 com o Patch 1. Também há uma nota no arquivo Leiame do Patch 3 do VirusScan que diz a mesma coisa.

Para deixar as coisas ainda mais confusas Mike Davis, diretor executivo da Centrality, uma empresa inglesa de design e suporte de redes, disse que cópias recém-instaladas do McAfee Enterprise Policy Orchestrator (EPO) tem a opção desabilitada por padrão, mas atualizações não tem. “Investigações feitas hoje mostraram que após uma atualização para o EPO mais recente… na maioria dos casos a opção foi habilitada por padrão”, disse Davis. “Se é uma instalação “limpa” da versão mais recente do EPO, acreditamos que a opção estará desabilitada”.

A EPO é a plataforma para gerenciamento de segurança corporativa da McAfee, e é usada para distribuir atualizações do arquivo de assinaturas do antivírus para toda uma empresa.

Hoje, a McAfee disse que planeja publicar um FAQ próprio detalhando quais consumidores foram afetados, e quais não foram. Um porta-voz da empresa não deu uma data exata para publicação de tal FAQ, dizendo apenas que seria “muito em breve”.

Parece que o que aconteceu está claro. Mas como foi que o problema passou desapercebido pela empresa? A McAfee não explicou tudo, mas admitiu que “enganos acontecem“, nas palavras de seu vice-presidente executivo de suporte, Barry McPherson.

Além deste, o único outro comentário foi de um porta-voz da companhia, que disse ontem: “Estamos investigando como a detecção incorreta foi inclusa em nossos arquivos DAT e iremos tomar medidas para impedir que isto ocorra novamente”.

John Pescatore, um analista do Gartner, disse que houve na verdade um par de pontos de falha na McAfee. “Primeiro, um aviso de que o arquivo svchost.exe seria colocado de quarentena ou excluído deveria ter sido exibido”, disse Pescatore, que avisou que não tem informação interna sobre o problema. “E segundo, o sistema de avaliação de qualidade (QA) de assinaturas deles falhou”.

Poderemos ter acesso a informações internas em algum momento: a McAfee prometeu tornar públicos os resultados de sua investigação. “A McAfee está focada em uma análise completa da raiz deste problema. Tornaremos esta informação pública o mais rápido possível”, disse a empresa em uma página publicada em seu site.

Alguns usuários não podem esperar. “Quando tudo isto estiver terminado, eu espero que a McAfee tenha algumas respostas diretas para mim”, disse CrazyFingers, o usuário que iniciou a mais longa thread de suporte nos fóruns da empresa. “Espero que eles expliquem claramente como um engano desta magnitude pôde ocorrer. E depois quero saber como ele passou pelo QA”.

Como o problema se espalhou tão rapidamente? Atualizações apressadas, diz Pescatore.

“Todo mundo quer mais velocidade”, disse o analista, se referindo aos fabricantes de antivirus que aceleraram a entrega de assinaturas em uma tentativa de igualar o passo do desenvolvimento de novos malware pelos hackers.

A Centrality repete as opiniões de Pescatore. “Tipicamente, usuários do McAfee Enterprise Policy Orchestrator (EPO) tem esquemas agressivos para distribuição de atualizações para se certificar de que o tempo de exposição a novas ameaças é minimizado”, disse a empresa em um relato pós-fato na newsletter McAfee disaster (baixe o PDF). “É por causa deste processo de distribuição agressivo por padrão que a atualização conseguiu chegar a um número tão grande de máquinas tão rapidamente”.

E como eu limpo a bagunça que a McAfee fez? Manualmente.

Como praticamente todos os PCs afetados se tornaram incapazes de se conectar a uma rede, as equipes de suporte corporativo tem de lidar diretamente com cada máquina.

Ontem a McAfee divulgou os passos necessários em seu site (consumidores devem procurar aqui). Hoje, ela disponibilizou uma ferramenta semi-automatizada, batizada “SuperDAT Remediation Tool” que pode ter de ser executada após entrar no modo de segurança do Windows. Baixe a ferramenta em um sistema que consegue se conectar à rede ou à internet, e então copie-a para um pendrive. Vá com ele de PC em PC, rodando-a em cada um deles.

Como posso evitar fiascos futuros? Pescatore tem algumas sugestões.

“Sete ou oito anos atrás, as empresas rotineiramente testavam atualizações antivirus antes de enviá-las a toda a organização”, disse ele. “Mas de cinco anos para cá, a prática foi abandonada”.

Mas como as atualizações são distribuídas pelos fabricantes tão frequentemente – novamente, a síndrome da velocidade – é improvável que empresas possam testá-las adequadamente antes de distribuí-las. Em vez disto, disse ele, é sábio deixar que os outros hajam como cobaias. “Você não quer ser o primeiro a aplicar qualquer atualização, seja ela um patch de segurança ou algo como isto”, disse ele.